یک روش خطرناک ذخیره پسورد

امنیت. امنیت. امنیت.

امروز خواستم توی سایتی ایرانی در حوزه فین‌تک عضو بشم، از ثبت پسورد خوبم منصرف شدم. یه حس عجیبی گفت مراقب باش! سایتشون SSL داشت اما بخش پرتالشون نداشت! یک لحظه گفتم بذار اعتماد نکنم.

یه پسورد بی‌درو‌پیکر گذاشتم.

بعد از چند ثانیه ایمیلی که رسید دستم، عین خود پسورد فلان فلان شده رو نشون داده بود.

د آخه چرا؟

مشکوک شدم، درخواست بازیابی پسورد رو زدم.

و بله…

عین خود پسورد رو ذخیره می‌کنند. بدون Hash!

آهای آدمایی که می‌خواهید سامانه خصوصی بنویسید و حتی به یک Framework هم راضی نمیشید.
حداقل کمی درباره امنیت و حقوق مشتریانتون اطلاعات داشته باشید.

بعد django برای امنیت بیشتر میاره PBKDF2 رو به جای ۳۶۰۰۰ دور، میکنه ۱۰۰۰۰۰ دور!

این شرکت سیستم خود رو به وردپرس منتقل کرده و این متن الزاما نه غلطه نه درست. تو فضای اینترنت ایران این مورد «ذخیره پسورد به فرمت Plain و بدون رمزنگاری» مکرر دیدم. مراقب خودتون و دارایی‌های الکترونیکتون باشید.

Photo by Markus Spiske on Unsplash

نویسنده مطلب: محمد حسین مجتهدی

منبع مطلب